MTI
Majdnem egy éves a Stuxnet
Míg a magyarországi önkormányzati választásokkal kapcsolatban legfeljebb kellemetlen intermezzóként lehet említeni azt a túlterheléses támadást, amelyik lelassította az eredmények közzétételét, a világban igen komoly számítógépes vírustevékenységgel is találkozni.
Összeesküvés-elméleteknek eddig sem voltunk híján a számítógépes vírusokkal kapcsolatban: egy-egy jelentékeny és széles körben elterjedt kártevő felbukkanásakor tömegesen születtek az olyan kommentárok, amelyek párhuzamokat véltek kimutatni a hagyományos hadviselés eszközeivel. Igazi kiberháborús eseménynek azonban egyik támadást sem lehetett tekinteni, szemben az elmúlt hónapok híreinek élvonalában szereplő Stuxnettel.
A Stuxnet ugyanis - ahogyan arról többek között a The New York Times is tudósított - úgyszólván világpolitikai tényezővé lépett elő: ez az első olyan, igen fejlett ártalmas kód, amelynek megalkotása a feltételezések szerint állami-titkosszolgálati közreműködést igényelt, mérhető károkat okozva valamely más állam ipari rendszereiben. Nem véletlen, hogy híre a média homlokterébe került, hiszen a támadás feltételezett célpontjai között egy iráni atomerőmű is szerepelt, sőt az ottani gépeken detektálták az összes fertőzés 60 százalékát. De akárcsak a klasszikus hadviselés elterelő műveleteinél, a féreg nem csupán Iránban fertőzött, hanem Indiában, Pakisztánban, Kínában és Indonéziában is, így pedig meglehetősen nehéz azonosítani a lehetséges valódi célpontot.
Az iráni atomerőmű elleni támadás teóriájával nem minden szakember ért egyet, de azt elismerik, hogy ennyire bonyolult kiberfegyver kifejlesztése meghaladja egy vagy néhány ember képességeit. Az elkövetőnek ugyanis a kódot író hackerek mellett a vezérlések gyengeségeit ismerő specialistákra és a célpontot behatároló, nyilvánosan el nem érhető információkra is szüksége volt ahhoz, hogy elkészítse és hosszú ideig rejtve alkalmazza a kártevőt.
Hogy a legenda még teljesebb és rejtélyesebb legyen, a Stuxnettel kapcsolatban előbukkant egy feltételezett bibliai szál is. A vírus kódjának egyik részlete a Myrtus (mirtusz) nevet viseli, ami egyértelmű utalás lehet az Ábrahám népét megmentő Eszterre. Az izraeli kormány természetesen nem fűzött kommentárt a feltételezéshez, miszerint titkosszolgálata kiberháborúra szakosodott részlegének köze volna a Stuxnethez. Ugyanakkor több ország számítástechnikai szakemberei is úgy vélekedtek, hogy a vírus eredetét talán sohasem sikerül majd kideríteni, és a mirtusz név használata is lehet csupán szándékos félrevezetés, amelynek célja, hogy a gyanút az izraeliekre terelje.
Ralph Langner komputerbiztonsági szakember szerint a vírust feltehetően az iszlám köztársaság nukleáris erőművének építésében részt vevő orosz szakemberek hurcolhatták be - némi titkosszolgálati rásegítéssel - az országba. A féreg kifejezetten a Siemens vállalat programja után kutat a kiszemelt számítógépeken. A Symantec kutatói visszafejtették a forráskódját, és megállapították, hogy a kártevő nemcsak kémkedésre, adatok kiszivárogtatására alkalmas, hanem bizonyos körülmények között akár az ipari rendszerek átprogramozását is képes elvégezni.
Az elsősorban USB-s adathordozókon keresztül terjedő Stuxnetnek mindössze arra van szüksége, hogy az eredeti, alapértelmezett Siemens-jelszó használható legyen a hitelesítéshez. Amennyiben ez a feltétel adott, akkor a féreg képes fertőzni. Ezt követően - ha talál aktív internetkapcsolatot - a támadók által előre meghatározott távoli szerverekre feltölti a legfontosabb konfigurációs adatokat.
"A támadók meghatározhatják, hogy a folyamatvezérlő rendszerek miként működjenek, és ennek megfelelően különféle kódokat, parancsokat küldhetnek vissza a fertőzött rendszerekre - idézte a Computerworld cikke Liam O'Murchut, a Symantec Security Response szakértőjét. - Ezzel elérhetik, hogy a gyártásban részt vevő berendezések az igényeiknek megfelelően működjenek. A kockázatokat természetesen csökkenti, hogy az ipari berendezések sok esetben nem rendelkeznek közvetlen internetkapcsolattal".
A The New York Times szakírója szerint a Stuxnet legfeltűnőbb vonása mégsem csupán a programkód kimagaslóan magas színvonala, hanem sokkal inkább egyfajta "hanyagság": létrehozói szabadjára engedték, hogy célzott támadásai véletlenszerűen terjedjenek el a világ ipari létesítményeiben. A világméretű riadó akkor harsant fel, amikor a számítógépes féreg már hónapok óta ott lappangott egy vagy több USB-kulcs közvetítésével az iráni atomerőmű dúsító üzemének számítógépein.
Számítógépes biztonsági szakértők úgy vélik, hogy a nukleáris létesítménybe bekerült féreg feladata a centrifugák átprogramozása lett volna a Siemens folyamatvezérlő berendezései működésének gyakorlatilag észrevehetetlen megváltoztatása révén. Arról nem lehet biztosat tudni, hogy a program valóban elérte volna ezt a célt. Érdekes az időzítés is: a Stuxnet kódjában szereplő időbélyeg szerint a féreg januárban készült, vagyis maga a digitális támadás - az, hogy bejutott az ipari létesítmények, így az iráni atomerőmű számítógépeire - jóval az előtt történt, hogy azonosították, és elkezdte magára vonzani a médiavilág figyelmet.
Az atomerőmű vezetője azt mondta, hogy a féreg nem a vezérlő rendszereket támadta meg, hanem csupán a munkatársak személyi számítógépein aktivizálódott. Az Iran Daily című állami lapot idézve a Reuters hírügynökség azt jelentette, hogy az iráni távközlési miniszter, Reza Takipur szerint a féreg még nem terjedt el széles körben, és nem is okozott súlyos károkat a kormányzati rendszerekben. A Siemens sietett leszögezni, hogy a világon mindössze 15 olyan létesítményben bukkant fel a Stuxnet, ahol a cég berendezéseit használják, és azok működési folyamatait érdemben nem befolyásolta. Mindazonáltal a kártevő most már nem csupán észlelhető, de tovább is terjedhet a világban az interneten keresztül.
Jogos tehát a fokozott félelem, hiszen a Stuxnet révén feltárul az ipari ellenőrző rendszerek sebezhetősége. És a program nyomait nem csupán a világ számítógépes biztonsági cégei, hanem hírszerző ügynökségek és hackerek is vizsgálják "A fertőzés terjedése valós probléma, és az egyes országok nincsenek felkészülve erre a helyzetre" - vélekedett Melissa Hathaway, az Egyesült Államok korábbi nemzeti számítógépes biztonsági koordinátora. Az ipari vezérlőrendszerekért felelős szakemberek körében nagy riadalmat okoz, hogy a széles körű elterjedtség révén elérhetővé válnak az e rendszerek sebezhetőségére építő támadási technikák. "Ezek a srácok halálra vannak rémülve. Talán 90 napunk van még arra, hogy megoldást találjunk, mielőtt néhány hacker elkezdi használni ezeket a technikákat" - figyelmeztetett Hathaway.
Az, hogy a Stuxnet képes volt beszivárogni a rendszerekbe, megköveteli a helyzet teljes újraértékelését. "Felül kell vizsgálni a biztonsági rendszereket és folyamatokat, a szövetségi technológiai szabványokat és a nukleáris létesítmények szabályozásának rendszerét" - jelentette ki Joe Weiss, az ipari vezérlőrendszerek biztonságára szakosodott Applied Control Solutions ügyvezető partnere. Nagy kérdés, hogy az alkotók miért engedik szabadon terjedni ezt a kártevőt. Az egyik lehetséges magyarázat, hogy egyszerűen nem érdekli őket a kód további sorsa. A mögöttük álló kormányokat pedig vélhetően annyira elragadta a hév - például az iráni nukleáris program leállításának terve -, hogy nem fordítottak elegendő figyelmet azoknak a technikáknak az alkalmazására, amelyek révén nem maradnak digitális vagy más nyomok a megtámadott rendszerekben.
Hogy megfékezhető-e a kód további terjedése? Erről egyelőre ugyancsak megoszlanak a szakértői vélemények, hiszen azt sem lehet tudni, hány helyen van még jelen lappangó üzemmódban a kártevő. A Symantec arra hívta fel a figyelmet, hogy a Stuxnet olyan összetevőket is tartalmaz, amelyek segítségével igyekszik elrejteni a jelenlétére utaló rendszermódosításokat, illetve az általa folytatott hálózati kommunikációt. További probléma, hogy a féreg windowsos összetevőinek eltávolítása után maradhatnak rejtett parancsok a rendszerekben. Ezért a Symantec azt tanácsolta, hogy célszerű auditot lefolytatni a kódokon, vagy megfelelő biztonsági mentésekből elvégezni a helyreállítást.
A Microsoftnak szeptember közepére sikerült befoltoznia azt a biztonsági rést, amelyen keresztül a Stuxnet megfertőzte a célpontul választott gépeket, a megfelelő javítás a szakemberek rendelkezésére áll. Az iráni kormány közölte, hogy valamennyi, összesen 30 ezer fertőzött gépről sikerült eltávolítaniuk a kártevőt. Akárhogy is, az újabb, hasonló fertőzések megelőzésére elegendő volna egy IT-biztonsági alapszabály következetes és szigorú alkalmazása is: ne dugjunk olyan USB-kulcsot a gépbe, amelynek eredetéről nincsenek hiteles és megbízható információink. És kiváltképp ne tegyük ezt egy atomerőmű valamely folyamatának vezérléséért felelős számítógép esetében.
Összeesküvés-elméleteknek eddig sem voltunk híján a számítógépes vírusokkal kapcsolatban: egy-egy jelentékeny és széles körben elterjedt kártevő felbukkanásakor tömegesen születtek az olyan kommentárok, amelyek párhuzamokat véltek kimutatni a hagyományos hadviselés eszközeivel. Igazi kiberháborús eseménynek azonban egyik támadást sem lehetett tekinteni, szemben az elmúlt hónapok híreinek élvonalában szereplő Stuxnettel.
A Stuxnet ugyanis - ahogyan arról többek között a The New York Times is tudósított - úgyszólván világpolitikai tényezővé lépett elő: ez az első olyan, igen fejlett ártalmas kód, amelynek megalkotása a feltételezések szerint állami-titkosszolgálati közreműködést igényelt, mérhető károkat okozva valamely más állam ipari rendszereiben. Nem véletlen, hogy híre a média homlokterébe került, hiszen a támadás feltételezett célpontjai között egy iráni atomerőmű is szerepelt, sőt az ottani gépeken detektálták az összes fertőzés 60 százalékát. De akárcsak a klasszikus hadviselés elterelő műveleteinél, a féreg nem csupán Iránban fertőzött, hanem Indiában, Pakisztánban, Kínában és Indonéziában is, így pedig meglehetősen nehéz azonosítani a lehetséges valódi célpontot.
Az iráni atomerőmű elleni támadás teóriájával nem minden szakember ért egyet, de azt elismerik, hogy ennyire bonyolult kiberfegyver kifejlesztése meghaladja egy vagy néhány ember képességeit. Az elkövetőnek ugyanis a kódot író hackerek mellett a vezérlések gyengeségeit ismerő specialistákra és a célpontot behatároló, nyilvánosan el nem érhető információkra is szüksége volt ahhoz, hogy elkészítse és hosszú ideig rejtve alkalmazza a kártevőt.
Hogy a legenda még teljesebb és rejtélyesebb legyen, a Stuxnettel kapcsolatban előbukkant egy feltételezett bibliai szál is. A vírus kódjának egyik részlete a Myrtus (mirtusz) nevet viseli, ami egyértelmű utalás lehet az Ábrahám népét megmentő Eszterre. Az izraeli kormány természetesen nem fűzött kommentárt a feltételezéshez, miszerint titkosszolgálata kiberháborúra szakosodott részlegének köze volna a Stuxnethez. Ugyanakkor több ország számítástechnikai szakemberei is úgy vélekedtek, hogy a vírus eredetét talán sohasem sikerül majd kideríteni, és a mirtusz név használata is lehet csupán szándékos félrevezetés, amelynek célja, hogy a gyanút az izraeliekre terelje.
Ralph Langner komputerbiztonsági szakember szerint a vírust feltehetően az iszlám köztársaság nukleáris erőművének építésében részt vevő orosz szakemberek hurcolhatták be - némi titkosszolgálati rásegítéssel - az országba. A féreg kifejezetten a Siemens vállalat programja után kutat a kiszemelt számítógépeken. A Symantec kutatói visszafejtették a forráskódját, és megállapították, hogy a kártevő nemcsak kémkedésre, adatok kiszivárogtatására alkalmas, hanem bizonyos körülmények között akár az ipari rendszerek átprogramozását is képes elvégezni.
Az elsősorban USB-s adathordozókon keresztül terjedő Stuxnetnek mindössze arra van szüksége, hogy az eredeti, alapértelmezett Siemens-jelszó használható legyen a hitelesítéshez. Amennyiben ez a feltétel adott, akkor a féreg képes fertőzni. Ezt követően - ha talál aktív internetkapcsolatot - a támadók által előre meghatározott távoli szerverekre feltölti a legfontosabb konfigurációs adatokat.
"A támadók meghatározhatják, hogy a folyamatvezérlő rendszerek miként működjenek, és ennek megfelelően különféle kódokat, parancsokat küldhetnek vissza a fertőzött rendszerekre - idézte a Computerworld cikke Liam O'Murchut, a Symantec Security Response szakértőjét. - Ezzel elérhetik, hogy a gyártásban részt vevő berendezések az igényeiknek megfelelően működjenek. A kockázatokat természetesen csökkenti, hogy az ipari berendezések sok esetben nem rendelkeznek közvetlen internetkapcsolattal".
A The New York Times szakírója szerint a Stuxnet legfeltűnőbb vonása mégsem csupán a programkód kimagaslóan magas színvonala, hanem sokkal inkább egyfajta "hanyagság": létrehozói szabadjára engedték, hogy célzott támadásai véletlenszerűen terjedjenek el a világ ipari létesítményeiben. A világméretű riadó akkor harsant fel, amikor a számítógépes féreg már hónapok óta ott lappangott egy vagy több USB-kulcs közvetítésével az iráni atomerőmű dúsító üzemének számítógépein.
Számítógépes biztonsági szakértők úgy vélik, hogy a nukleáris létesítménybe bekerült féreg feladata a centrifugák átprogramozása lett volna a Siemens folyamatvezérlő berendezései működésének gyakorlatilag észrevehetetlen megváltoztatása révén. Arról nem lehet biztosat tudni, hogy a program valóban elérte volna ezt a célt. Érdekes az időzítés is: a Stuxnet kódjában szereplő időbélyeg szerint a féreg januárban készült, vagyis maga a digitális támadás - az, hogy bejutott az ipari létesítmények, így az iráni atomerőmű számítógépeire - jóval az előtt történt, hogy azonosították, és elkezdte magára vonzani a médiavilág figyelmet.
Az atomerőmű vezetője azt mondta, hogy a féreg nem a vezérlő rendszereket támadta meg, hanem csupán a munkatársak személyi számítógépein aktivizálódott. Az Iran Daily című állami lapot idézve a Reuters hírügynökség azt jelentette, hogy az iráni távközlési miniszter, Reza Takipur szerint a féreg még nem terjedt el széles körben, és nem is okozott súlyos károkat a kormányzati rendszerekben. A Siemens sietett leszögezni, hogy a világon mindössze 15 olyan létesítményben bukkant fel a Stuxnet, ahol a cég berendezéseit használják, és azok működési folyamatait érdemben nem befolyásolta. Mindazonáltal a kártevő most már nem csupán észlelhető, de tovább is terjedhet a világban az interneten keresztül.
Jogos tehát a fokozott félelem, hiszen a Stuxnet révén feltárul az ipari ellenőrző rendszerek sebezhetősége. És a program nyomait nem csupán a világ számítógépes biztonsági cégei, hanem hírszerző ügynökségek és hackerek is vizsgálják "A fertőzés terjedése valós probléma, és az egyes országok nincsenek felkészülve erre a helyzetre" - vélekedett Melissa Hathaway, az Egyesült Államok korábbi nemzeti számítógépes biztonsági koordinátora. Az ipari vezérlőrendszerekért felelős szakemberek körében nagy riadalmat okoz, hogy a széles körű elterjedtség révén elérhetővé válnak az e rendszerek sebezhetőségére építő támadási technikák. "Ezek a srácok halálra vannak rémülve. Talán 90 napunk van még arra, hogy megoldást találjunk, mielőtt néhány hacker elkezdi használni ezeket a technikákat" - figyelmeztetett Hathaway.
Az, hogy a Stuxnet képes volt beszivárogni a rendszerekbe, megköveteli a helyzet teljes újraértékelését. "Felül kell vizsgálni a biztonsági rendszereket és folyamatokat, a szövetségi technológiai szabványokat és a nukleáris létesítmények szabályozásának rendszerét" - jelentette ki Joe Weiss, az ipari vezérlőrendszerek biztonságára szakosodott Applied Control Solutions ügyvezető partnere. Nagy kérdés, hogy az alkotók miért engedik szabadon terjedni ezt a kártevőt. Az egyik lehetséges magyarázat, hogy egyszerűen nem érdekli őket a kód további sorsa. A mögöttük álló kormányokat pedig vélhetően annyira elragadta a hév - például az iráni nukleáris program leállításának terve -, hogy nem fordítottak elegendő figyelmet azoknak a technikáknak az alkalmazására, amelyek révén nem maradnak digitális vagy más nyomok a megtámadott rendszerekben.
Hogy megfékezhető-e a kód további terjedése? Erről egyelőre ugyancsak megoszlanak a szakértői vélemények, hiszen azt sem lehet tudni, hány helyen van még jelen lappangó üzemmódban a kártevő. A Symantec arra hívta fel a figyelmet, hogy a Stuxnet olyan összetevőket is tartalmaz, amelyek segítségével igyekszik elrejteni a jelenlétére utaló rendszermódosításokat, illetve az általa folytatott hálózati kommunikációt. További probléma, hogy a féreg windowsos összetevőinek eltávolítása után maradhatnak rejtett parancsok a rendszerekben. Ezért a Symantec azt tanácsolta, hogy célszerű auditot lefolytatni a kódokon, vagy megfelelő biztonsági mentésekből elvégezni a helyreállítást.
A Microsoftnak szeptember közepére sikerült befoltoznia azt a biztonsági rést, amelyen keresztül a Stuxnet megfertőzte a célpontul választott gépeket, a megfelelő javítás a szakemberek rendelkezésére áll. Az iráni kormány közölte, hogy valamennyi, összesen 30 ezer fertőzött gépről sikerült eltávolítaniuk a kártevőt. Akárhogy is, az újabb, hasonló fertőzések megelőzésére elegendő volna egy IT-biztonsági alapszabály következetes és szigorú alkalmazása is: ne dugjunk olyan USB-kulcsot a gépbe, amelynek eredetéről nincsenek hiteles és megbízható információink. És kiváltképp ne tegyük ezt egy atomerőmű valamely folyamatának vezérléséért felelős számítógép esetében.
